1. UNIVERSIDAD NACIONAL JORGE BASADRE GROHMANN
Facultad de Ciencias Jurídicas y Empresariales
E.A.P. Ciencias Contables y Financieras
AUDITORIA DE SISTEMAS
PLANEACION DE AUDITORIA DE
SISTEMAS INFORMATICOS
•José Manuel Salamanca Coppa 08-31807
•Jorge Arocutipa Chura 08-31798
•Percy Poma Alberto 08-31816
•Cristian Jesús Mamani Mamani 08-31790
2. • EMPRESA : HILOSA S.A DE C.V.
• SOCIEDAD ENCARGADA : RTS113 S.A.C.
NGAS S 1
• PERIODO AUDITADO : DEL 1 DE ENERO AL 31 DE
“Estatuto de DICIEMBRE DE 2011.
Auditoría”
• DIRECCION : AV.TACNA S/N
Es una carta de • TELEFONO : 2443-1888
compromiso que PERSONAL ENCARGADO ESPECIALIDAD
comunica el Jose Manuel Salamanca Coppa Auditor especialista
propósito, la
responsabilidad y Cristian Mamani Mamani Ing. De Sistemas
las limitaciones de la Jorge Arocutipa Chura Asistente de Auditor
auditoría asignada. Percy Poma Alberto Asistente de Ing. De
Sistemas
El auditor deberá poseer preparación técnica y capacidad profesional adecuada.
NORMAS Deberá observar diligencia profesional en la ejecución del trabajo y en la
PERSONALES elaboración del informe.
Deberá adoptar una actitud independiente.
3. AUDITORÍA DE SISTEMAS AL ÁREA DE SISTEMAS
INFORMATICOS A LA EMPRESA HILOSA S.A.
PERSONAL DE AUDITORÍA
La comisión de auditoria ha sido designada de la siguiente manera:
NOMBRES Y APELLIDOS CATEGORIA INICIALES
CPC. JOSE MANUEL SALAMANCA COPPA Auditor especialista JMSC
ING. SIS. CRISTIAN MAMANI MAMANI Ing. De Sistemas CMM
CPC. JORGE AROCUTIPA CHURA Asistente de Auditor JACH
ING. SIS. PERCY POMA ALBERTO Asistente de Ing. De PPA
Sistemas
NGAS N 3
NGAS N 2 NGAS N 4
“Ética y Estándares
“Independencia” “Competencia Profesional”
Profesionales”
El Auditor de Sistema de
El auditor de SI tiene que cumplir Tener las destrezas y los
Información tiene que ser
con el Código de Ética Profesional conocimientos para realizar la
independiente en actitud y
de ISACA tarea de auditoría.
apariencia.
4. LA AUDITORIA DE SISTEMAS INFORMATICOS
EMPRESA HILOSA S.A .
AUDITORÍA DE SISTEMAS AL ÁREA DE SISTEMAS INFORMATICOS A LA
EMPRESA HILOSA S.A.
MEMORÁNDUM DE PLANIFICACIÓN
1. ORIGEN DEL EXAMEN
La presente Auditoría de Sistemas se realiza en cumplimiento a las
acciones programadas para el periodo 2011 por La Empresa Auditora
Rts113 S.A.C. el cual fue aprobado por las normas pertinentes.
NORMA(S) Y GUÍA DE AUDITORÍA DE SI S5 – Planeación y G15 - Planeación
5. OBJETIVOS
NGAS N 5 Evaluar el funcionamiento y seguridad
“Planeacion” de los sistemas informáticos de la
empresa
OBJETIVOS
GENERALES Realizar un estudio suficiente de las
operaciones del área informática de la
empresa
El auditor de SI debe desarrollar y El mismo que permitirá generar un
documentar un plan de auditoría que respaldo en la emisión del informe a la
detalle la naturaleza y los objetivos de
la auditoría, los plazos y alcance, así auditoria practicada
como los recursos requeridos
NORMA(S), GUÍA DE AUDITORÍA DE SI Y S5 – Planeación, S11 – Gobernabilidad de TI S15 - Controles de TI, G15
MARCO REFERENCIAL DEL COBIT – Planeación, G16 – Efectos de terceros en los controles de TI de una
organización y Marco Referencial del COBIT, Objetivos de Control.
PROCEDIMIENTO(S) Y TÉCNICAS(S) Objetivos de controles y objetivos de auditoría
Procedimiento de auditoría: Revisión de la documentación de sistemas
e identificación de controles existentes.
6. OBJETIVOS
•Evaluar si la persona encargada del mantenimiento y
programación del sistema informático de la empresa cumple
con el perfil del puesto.
NGAS N 5
“Planeacion •Identificar las áreas críticas, con respecto a la seguridad del
” equipo del área de informática.
OBJETIVOS
ESPECIFICOS •Diseñar los procedimientos a efectuar en el desarrollo de la
El auditor de SI debe
auditoría del área de informática.
desarrollar y
documentar un plan de •Establecer el alcance en cuanto a los procedimientos, de tal
auditoría que detalle la manera que conduzcan a la formulación del informe de la
naturaleza y los
objetivos de la auditoria de sistemas.
auditoría, los plazos y
alcance, así como los
recursos requeridos
NORMA(S), GUÍA DE AUDITORÍA DE SI Y S5 – Planeación, S11 – Gobernabilidad de TI S15 - Controles de TI, G15
MARCO REFERENCIAL DEL COBIT – Planeación, G16 – Efectos de terceros en los controles de TI de una
organización y Marco Referencial del COBIT, Objetivos de Control.
PROCEDIMIENTO(S) Y TÉCNICAS(S) Objetivos de controles y objetivos de auditoría
Procedimiento de auditoría: Revisión de la documentación de sistemas
e identificación de controles existentes.
7. ESTUDIO Y EVALUACIÓN DEL CONTROL
INTERNO( AREAS CRITICAS)
Esta fase constituye el inicio de la planeación, aunque sea preparada con anterioridad; sus
resultados son los que generan la verdadera orientación de las subsiguientes fases del
proceso, sin ser excluyentes, se deben considerar los siguientes aspectos:
Conocer y analizar las operaciones a las cuales se dedica
NGAS N 10 el negocio y la forma en que está estructurado tanto
“Gobernabilidad de TI” desde del punto de vista organizacional y administrativo
Verificar si se ha diseñado un manual de organización y
funciones a ser aplicado a los y por los usuarios del área
GESTION ADMINISTRATIVA de informática
Establecer y proporcionar asesoría en
las áreas de gobernabilidad de TI que Verificar si las contrataciones del personal del área de
el auditor de SI debe tener en cuenta informática se han realizado con base a los criterios
durante el proceso de auditoría.
establecidos en el manual de funciones y cumplen el
El auditor de SI debe utilizar un
enfoque basado en riesgos para perfil del puesto
evaluar la función de SI.
NORMA(S) Y GUÍA DE AUDITORÍA DE S5 - Planeación, S11-Uso de la evaluación de riesgos en la
SI planeación de la auditoría y G - 13
PROCEDIMIENTO(S) Y TÉCNICAS(S) Riesgo y materialidad de auditoría
Técnicas de evaluación de riesgos
Procedimiento de auditoría: Revisión de la documentación de
sistemas e identificación de controles existentes.
8. Establecer y proporcionar asesoría en las áreas de
gobernabilidad de TI que el auditor de SI debe tener en
NGAS N 10 cuenta durante el proceso de auditoría.
“Gobernabilidad de TI” El auditor de SI debe utilizar un enfoque basado en riesgos
para evaluar la función de SI.
GESTION INFORMATICA
Examinar la información preliminar correspondiente al área de informática.
Conocimiento de las instalaciones físicas del negocio, materiales, mobiliario, inmuebles,
equipos, inventarios y otros que tienen relación al área de informática y la ubicación de
sucursales, en caso de que también utilicen dicho sistema.
Verificar si los programas utilizados dentro de la entidad han sido diseñados
específicamente para la empresa y hasta que punto estos programas son operativos y
satisfacen las necesidades de la entidad.
Naturaleza y tratamiento de las operaciones realizadas por medio de los sistemas
informáticos.
NORMA(S) Y GUÍA DE AUDITORÍA DE S5 - Planeación, S11-Uso de la evaluación de riesgos en la
SI planeación de la auditoría y G - 13
PROCEDIMIENTO(S) Y TÉCNICAS(S) Riesgo y materialidad de auditoría
Técnicas de evaluación de riesgos
Procedimiento de auditoría: Revisión de la documentación de
sistemas e identificación de controles existentes.
9. LA AUDITORIA DE SISTEMAS INFORMATICOS
EMPRESA HILOSA S.A .
CARGOS Y NOMBRES DEL PERSONAL ENCARGADO
CARGO NOMBRES Y APELLIDOS
GERENTE GENERAL LIC. RODRIGO AYLLON LOPEZ
JEFE DEL AREA DE INFORMATICA ING. NESTOR PARI
REPRESENTANTE DEL PERSONAL DEL ING. CARLOS TELLEZ
AREA DE INFORMATICA
JEFE DEL AREA DE CONTABILIDAD CPC. LINO MANUEL ACERO MAMANI
NGAS N 15
“Controles” El auditor debe asistir a la gerencia proporcionando
consejos con respecto al diseño y la mejora de controles
de TI.
10. METODOS APLICABLES PARA SU DOCUMENTACION
A) DESCRIPTIVO
La documentación utilizada durante la auditoría, será en
primer lugar de tipo descriptiva o sea basada en la
narración verbal de los procedimientos, la cuales son
conocidas como cédulas narrativas
B) CUESTIONARIO
En segundo lugar, los procedimientos se documentarán
a través de la reelaboración de preguntas, contestadas
personalmente por los líderes de la empresa o por el
personal encargado de los sistemas informáticos y por
algunos usuarios dentro de la empresa que tenga
relación con el mismo
Evidencia—Durante el transcurso de la auditoría, el auditor de SI debe
NGAS N 6 obtener evidencia suficiente, confiable y pertinente para alcanzar los
“REALIZACIÓN DE objetivos de auditoría. Los hallazgos y conclusiones de la auditoría
LABORES DE AUDITORÍA ” deberán ser soportados mediante un apropiado análisis e interpretación
de dicha evidencia
11. CUESTIONARIO DE CONTROL INTERNO
PREGUNTAS SI NO N/A
ASPECTOS RELACIONADOS AL ÁREA DE INFORMÁTICA.
NGAS N 6
Existe dentro de la empresa un área de informática? “REALIZACIÓN DE
SI LA RESPUESTA FUE SI: LABORES DE AUDITORÍA ”
1. Ante quien rinden cuentas de su gestión?
2. Se ha nombrado un gerente para esta área?
Evidencia—Durante el transcurso de
3. Está identificada dicha área dentro del organigrama la auditoría, el auditor de SI debe
general de la empresa? obtener evidencia suficiente,
4. Se tiene un organigrama específico de dicha área? confiable y pertinente para alcanzar
5. Hay un manual de organización y funciones aplicables a los objetivos de auditoría. Los
hallazgos y conclusiones de la
dicha área?
auditoría deberán ser soportados
6. Están delimitadas las funciones de cada integrante del mediante un apropiado análisis e
área de informática? interpretación de dicha evidencia
7. Cada empleado del área de informática conoce la
persona ante la que tiene que rendir cuentas de su labor
12. CUESTIONARIO DE CONTROL INTERNO
PREGUNTAS SI NO N/A
ASPECTOS RELACIONADOS AL ÁREA DE INFORMÁTICA.
NGAS N 9
“IRREGULARIDADES Y
Existe dentro de la empresa un área de informática? ACCIONES ILEGALES
”
SI LA RESPUESTA FUE SI:
El auditor de SI debe mantener una
1. Ante quien rinden cuentas de su gestión? actitud de escepticismo profesional
2. Se ha nombrado un gerente para esta área? durante la auditoría, reconociendo
la posibilidad
3. Está identificada dicha área dentro del organigrama de que podrían existir
general de la empresa? declaraciones materialmente
incorrectas debido a
4. Se tiene un organigrama específico de dicha área? irregularidades y acciones ilegales,
5. Hay un manual de organización y funciones aplicables a independientemente de su propia
dicha área? evaluación del riesgo de
irregularidades y acciones ilegales.
6. Están delimitadas las funciones de cada integrante del
área de informática?
7. Cada empleado del área de informática conoce la
persona ante la que tiene que rendir cuentas de su labor
13. CUESTIONARIO DE CONTROL INTERNO
PREGUNTAS SI NO N/A
ASPECTOS RELACIONADOS AL HARDWARE NGAS N 9
“IRREGULARIDADES Y
ACCIONES ILEGALES
1. En alguna ocasión se ha extraviado alguna laptop o ”
algún proyector de cañón propiedad de la empresa?
El auditor de SI debe mantener una
2. En alguna ocasión se ha extraviado algún periférico actitud de escepticismo profesional
(bocinas, audífonos, teclado, mouse, teclado numérico, durante la auditoría, reconociendo
la posibilidad
etc.) de una computadora? de que podrían existir
3. Si hay vigilante, ¿Revisa éste que los empleados no declaraciones materialmente
lleven artículos que no son de su propiedad? incorrectas debido a
irregularidades y acciones ilegales,
4. En alguna ocasión le han quemado discos o guardado independientemente de su propia
información en los equipos de la entidad? evaluación del riesgo de
irregularidades y acciones ilegales.
5. Cada componente de su computadora y periféricos tiene
la numeración respectiva del inventario?
14. CUESTIONARIO DE CONTROL INTERNO
PREGUNTAS SI NO N/A
ASPECTOS RELACIONADOS AL SOFTWARE
NGAS N 9
“IRREGULARIDADES Y
1. Se utilizan programas como el Office de Microsoft u otros ACCIONES ILEGALES
programas para los que la empresa haya comprado las ”
licencias correspondientes?
El auditor de SI debe mantener una
2. Los empleados pueden utilizar el equipo informático de la actitud de escepticismo profesional
entidad para elaborar documentos o diseños para uso durante la auditoría, reconociendo
la posibilidad
personal? de que podrían existir
3. Hay una persona nombrada como responsable de declaraciones materialmente
resguardar el software comprado por la empresa? incorrectas debido a
irregularidades y acciones ilegales,
4. Para el resguardo de los diversos discos de programas, se independientemente de su propia
tiene un archivadero adecuado? evaluación del riesgo de
irregularidades y acciones ilegales.
5. El software comprado por la entidad le facilita su trabajo?
6. Los programas antes mencionados son justo lo que
necesita para sus actividades laborales?
7. Existen programas diseñados y elaborados por el área de
informática, con los procedimientos específicos para las
actividades que la entidad desarrolla?
15. CRONOGRAMA DE ACTIVIDADES
No DI DIA DI DIA DI DIA DIA DIA DIA DIA
ACTIVIDAD O TAREA
. A1 2 A3 4 A5 6 7 8 9 10
1 Realización de Visita preliminar
2 Elaboración de Plan de Auditoría
El auditor donde resulte
3 Elaboración de Cuestionario de Control interno
El auditor de SI debe evaluar, revisar y apropiado, considerara el uso
calificar el trabajo de otros expertos
4 Visita para contestar el cuestionario de control interno del trabajo de otros expertos
como parte de la auditoría y concluir para realizar la auditoría.
Análisis del cuestionario y elaboración de Planilla de
el grado de utilidad y la fiabilidad del
5
trabajo del experto
Decisiones Preliminares
Ejecución de las actividades presentadas en el Programa de NGAS N 13
6
Auditoría “Uso del trabajo de
otros expertos”
7 Revisión de sistema de redes
Revisión de la funcionalidad de los sistemas por el
8
Programador
Revisión de funcionalidad del sistema eléctrico por el
9
electricista
10 Presentación del informe de Auditoría
16. CRONOGRAMA DE ACTIVIDADES
No DI DIA DI DIA DI DIA DIA DIAN 6
NGAS DIA DIA
ACTIVIDAD O TAREA
. A1 2 A3 4 A 5 “Ejecución 9 10
6 7 8 de la
1 Realización de Visita preliminar Auditoría”
2 Elaboración de Plan de Auditoría El auditor de SI
3 Elaboración de Cuestionario de Control interno debe ser
4 Visita para contestar el cuestionario de control interno supervisado,
encontrar evidencia
Análisis del cuestionario y elaboración de Planilla de
5 suficiente y
Decisiones Preliminares
elaborar
Ejecución de las actividades presentadas en el Programa de documentación que
6
Auditoría sustente sus
7 Revisión de sistema de redes labores.
Revisión de la funcionalidad de los sistemas por el
8
Programador
Revisión de funcionalidad del sistema eléctrico por el
9
electricista
10 Presentación del informe de Auditoría
17. CRONOGRAMA DE ACTIVIDADES
No DI DIA DI DIA DI DIA DIA DIA DIA DIA
ACTIVIDAD O TAREA
. A1 2 A3 4 A5 6 7 8 9 10
1 Realización de Visita preliminar
2 Elaboración de Plan de Auditoría
3 Elaboración de Cuestionario de Control interno
4 Visita para contestar el cuestionario de control interno
Análisis del cuestionario y elaboración de Planilla de
5
Decisiones Preliminares
Ejecución de las actividades presentadas en el Programa de
6
Auditoría
NGAS N 7
7 Revisión de sistema de redes
“Reporte”
Revisión de la funcionalidad de los sistemas por el
8
Programador El auditor de SI debe
Revisión de funcionalidad del sistema eléctrico por el suministrar un informe al
9
electricista finalizar la auditoría
10 Presentación del informe de Auditoría
18. PROGRAMA DE AUDITORIA DE LA EMPRESA HILOSA S.A.C.
Referencia
Procedimientos Fecha Hecho por
P/T
Objetivo :
Evaluar el funcionamiento y seguridad de los sistemas informáticos de la Del 01 al 10
empresa
Realizar un estudio suficiente de las operaciones del área informática de la de enero CMM
empresa
Procedimientos:
Del 01 al 02
1. Solicite los documentos normativos que regulan el área de informática
de enero JACH
de la empresa LA EMPRESA HILOSA S.A
2. Evaluar todo lo relacionado con la infraestructura como: paredes pisos, Del 02 al 03
techo e instalaciones eléctricas, su correspondiente mantenimiento y PPA
remodelaciones de la misma. enero
3. Evaluar la distribución del equipo, es adecuado el equipo de cómputo Del 03 al 04
para el desarrollo de las práctica, es suficiente la cantidad de equipo de JACH
cómputo, se están dejando de realizar actividades por falta de equipo de enero
de cómputo y recursos tecnológicos; otros, mantenimiento y seguridad
para proteger el mobiliario,
4. Verifique y realice un estudio sobre la capacidad operativa del personal Del 04 al 07
JMSC
y aclarar si estos puestos vienen siendo ocupados por personal de enero
especializado en el área.
5. Revisar el licenciamiento y facturación del software, su actualización, Del 07-10
JMSC
servicios de mantenimiento, así como la instalación innecesaria de de enero
programas, además si carecen de programas para la realización de
alguna práctica
19. PROGRAMA DE AUDITORIA DE LA EMPRESA HILOSA S.A.C.
Referencia
Procedimientos Fecha Hecho por
P/T
Objetivo :
Evaluar el funcionamiento y seguridad de los sistemas informáticos de la
NGAS N 5
Del 01 al 10
empresa “Planeacion”
de enero CMM
Realizar un estudio suficiente de las operaciones del área informática de la
empresa
Procedimientos:
El auditor de SI debe desarrollar
Del 01 al 02
1. Solicite los documentos normativos que regulan el área de informática
de la empresa LA EMPRESA HILOSA S.A
un programa y/o plan deJACH
de enero
2. Evaluar todo lo relacionado con la infraestructura como: paredes pisos, auditoría detallando la
Del 02 al 03
techo e instalaciones eléctricas, su correspondiente mantenimiento y naturaleza, los plazos y elPPA
alcance
remodelaciones de la misma. enero
de los
3. Evaluar la distribución del equipo, es adecuado el equipo de cómputo Del 03 al 04
procedimientos requeridos para
para el desarrollo de las práctica, es suficiente la cantidad de equipo de JACH
cómputo, se están dejando de realizar actividades por falta de equipo completar lade enero
auditoría.
de cómputo y recursos tecnológicos; otros, mantenimiento y seguridad
para proteger el mobiliario,
4. Verifique y realice un estudio sobre la capacidad operativa del personal Del 04 al 07
JMSC
y aclarar si estos puestos vienen siendo ocupados por personal de enero
especializado en el área.
5. Revisar el licenciamiento y facturación del software, su actualización, Del 07-10
JMSC
servicios de mantenimiento, así como la instalación innecesaria de de enero
programas, además si carecen de programas para la realización de
alguna práctica
20. METODOLOGÍA Y PROCEDIMIENTOS
1.El Primer día, el Auditor Sénior y los Auditores Junior de la sociedad, visitarán al cliente, en el
lugar donde se realizará la auditoría, para identificar la magnitud de los procedimientos a
desarrollar y tener un acercamiento con los funcionarios y empleados de la empresa.
2.El segundo día, se llevará a cabo la elaboración de la Planeación de la Auditoría, para identificar
las posibles áreas que representen riesgo dentro de la organización y que afecten al sistema
informático. Además se elaborará el cuestionario de Control Interno, con el cual se buscará
recabar información, que nos ayudará a identificar el tipo de riesgo que presente cada
componente o área a evaluar.
3.El tercer día en la jornada matutina, se visitará el lugar de trabajo con el propósito de solicitar a
los funcionarios, empleados del área de informática y usuarios del sistema, que respondan el
cuestionario de control interno. La visita será por los Auditores Junior.
4.El día cuatro, con los resultados obtenidos, los auditores elaborarán la planilla de decisiones
preliminares, evaluando el tipo de riesgo que presenta cada área y definiendo algunos
procedimientos que será necesario realizar.
03 El auditor de SI debe cumplir con el Código de Ética
Profesional de ISACA al realizar tareas de auditoría.
NGAS S 3 04 El auditor de SI debe ejercer el debido cuidado
“NORMA DE AUDITORÍA DE profesional, lo cual incluye cumplir con los estándares
SI ÉTICA Y NORMAS profesionales de
PROFESIONALES auditoría aplicables al realizar tareas de auditoría.
21. MÉTODOS DE PRUEBA
Se solicitará a los auditores junior que desarrollen los procedimientos expresados en el plan de
auditoría.
En ellos se verificará que los peritos contratados para las diferentes áreas pongan a prueba los
sistemas de la organización, insertando claves falsas, para ver como reacciona el sistema.
A continuación se solicitará que un empleado autorizado de un nivel inferior, inserte su clave y luego
el experto en informática tratará de accesar a documentos que solo se deberían ver por funcionarios
de nivel superior.
Por lo tanto lo que se verificará es la seguridad que ofrezca el sistema.
Se harán pruebas, por otro lado en lo concerniente a las instalaciones eléctricas, con el fin de verificar
que estén en buen estado y se tratará de provocar fallas al sistema eléctrico, para verificar su
vulnerabilidad.
En cuanto a las redes, se tratará desde una máquina, accesar a otras que no se debiera tener acceso
con el fin de verificar su vulnerabilidad.
03 El auditor de SI debe cumplir con el Código de Ética
Profesional de ISACA al realizar tareas de auditoría.
NGAS S 3 04 El auditor de SI debe ejercer el debido cuidado
“NORMA DE AUDITORÍA DE profesional, lo cual incluye cumplir con los estándares
SI ÉTICA Y NORMAS profesionales de
PROFESIONALES auditoría aplicables al realizar tareas de auditoría.
22. CONCLUSIONES
La auditoria de sistemas informáticos tiene como base principal las
NGAS, que son consideradas como requisitos básicos para realizar la
labor del auditor de sistemas
El Auditor junto a su equipo de trabajo deberán tener amplia
información sobre sistemas informáticos, los mismos que garanticen
un desempeño mas eficiente en su labor
La auditoria de sistemas de información al momento de evaluar los
sistemas informáticos de la empresa no solo debe hacerlo a la parte
del software y hardware si no también a los procedimientos de
ingreso de dichos componentes